Notifiche di Microsoft Entra ID Protection
Microsoft Entra ID Protection invia due tipi di email di notifica automatica per aiutare a gestire il rischio utente e il rilevamento di rischi:
- Email utenti con rilevamento di rischi
- Email di riepilogo settimanale
Questo articolo offre informazioni generali su entrambe le email di notifica.
Nota
Non è supportato l'invio di email agli utenti nei ruoli assegnati da gruppo.
Importante
Per impostazione predefinita, gli utenti assegnati attivamente ai ruoli amministratore globale, amministratore della sicurezza o amministratore che legge i dati di sicurezza vengono aggiunti automaticamente a questo elenco se l'utente dispone di una configurazione valida di "Email" o "Posta elettronica alternativa". Se un utente è registrato in PIM per l'elevazione a uno di questi ruoli su richiesta, riceverà le email solo se sarà elevato al momento dell'invio.
Email utenti con rilevamento di rischi
In risposta al rilevamento di un account a rischio, Microsoft Entra ID Protection genera un avviso email con oggetto Rilevati utenti a rischio. L’email include un collegamento al report Utenti contrassegnati per il rischio. La procedura consigliata richiede di avviare immediatamente l’indagine sugli utenti a rischio.
La configurazione per questo avviso consente di specificare a quale livello di rischio utente si vuole generare l'avviso. L'email è generata quando il livello di rischio dell'utente ciò che è stato specificato. Ad esempio, se si impostano i criteri di avviso per rischio medio degli utenti e il punteggio di rischio dell'utente passa a un rischio medio a causa di un rischio di accesso in tempo reale, si riceverà un’email di utenti con rilevamento di rischi. Se l'utente ha rilevamenti di rischi successivi che determinano il calcolo del livello di rischio utente come livello di rischio specificato (o superiore), al ricalcolo del punteggio di rischio utente si ricevono più email di utente con rilevamento di rischi. Ad esempio, se il 1° gennaio un utente passa a un rischio medio, si riceverà una notifica tramite posta elettronica se le impostazioni sono impostate su avviso a rischio medio. Se lo stesso utente ha un altro rilevamento di rischi il 5 gennaio e il punteggio di rischio utente viene ricalcolato ma è ancora medio, si riceve un'altra notifica tramite posta elettronica.
Se la modifica del livello di rischio utente è più recente rispetto all’ultima email inviata, viene inviata una notifica tramite posta elettronica aggiuntiva. Ad esempio, un utente effettua l'accesso il 1° gennaio alle 5:00 e non esiste alcun rischio in tempo reale (ovvero questo accesso non genera alcuna email). 10 minuti dopo, alle 5:10, lo stesso utente accede di nuovo e ha un rischio in tempo reale elevato, determinando il passaggio ad alto del livello di rischio utente e l’invio di un’email. Alle 5:15 il punteggio di rischio offline per l'accesso originale alle 5:00 si modifica in alto a causa dell'elaborazione dei rischi offline. Un altro utente contrassegnato per email di rischio non verrà inviato, poiché l'ora del primo accesso era antecedente al secondo accesso che aveva già attivato una notifica tramite posta elettronica.
Per evitare un overload di email, si riceve una sola email entro un periodo di 5 secondi. Se più utenti passano al livello di rischio specificato durante lo stesso periodo di tempo di 5 secondi, i dati saranno aggregati e sarà inviato un unico messaggio di posta per tutti.
Se l'organizzazione ha abilitato la correzione automatica, come descritto nell'articolo, Esperienze utente con Microsoft Entra ID Protection esiste la possibilità che l'utente possa rimediare al rischio prima di avere l’opportunità di indagare. È possibile visualizzare gli utenti e gli accessi a rischio già risolti aggiungendo Rimediati al filtro Stato di rischio nei report Utenti a rischio o Accessi a rischio.
Configurare gli avvisi relativi agli utenti con rilevamento di rischi
Gli amministratori possono impostare:
- Il livello di rischio che attiva la generazione di questa email: per impostazione predefinita, il livello di rischio è impostato come "Alto".
- Destinatari di questa email
- In via opzionale, è possibile aggiungere un email personalizzata qui. Gli utenti definiti devono avere le autorizzazioni appropriate per visualizzare i report collegati.
Configurare l’email degli utenti a rischio nell'Interfaccia di amministrazione di Microsoft Entra in Protezione>Protezione identità>Avvisi utenti a rischio rilevati.
Email di riepilogo settimanale
L’email di riepilogo settimanale contiene un riepilogo dei nuovi rilevamenti di rischi.
Comprende:
- Nuovi utenti a rischio rilevati
- Rilevati nuovi accessi a rischio (in tempo reale)
- Collegamenti ai report correlati in Protezione ID
Configurare l’email di riepilogo settimanale
In qualità di amministratore, è possibile attivare o disattivare l'invio di email di riepilogo settimanale e scegliere gli utenti assegnati per la ricezione della email.
Configurare l’email di riepilogo settimanale in Interfaccia di amministrazione di Microsoft Entra>Protezione>Protezione identità>Riepilogo settimanale.